Microsoft Entra ID 사용하여 Azure Data Lake Storage Gen1을 사용한 서비스 간 인증

Azure Data Lake Storage Gen1은 인증에 Microsoft Entra ID 사용합니다. Data Lake Storage Gen1 사용하는 애플리케이션을 작성하기 전에 Microsoft Entra ID 사용하여 애플리케이션을 인증하는 방법을 결정해야 합니다. 사용할 수 있는 두 가지 주요 옵션은 다음과 같습니다.

  • 최종 사용자 인증
  • 서비스 간 인증(이 문서)

이 두 옵션 모두 Data Lake Storage Gen1을 대상으로 만들어진 각 요청에 연결하는 OAuth 2.0 토큰과 함께 제공되는 애플리케이션에서 발생합니다.

이 문서에서는 서비스 간 인증을 위한 Microsoft Entra 웹 애플리케이션을 만드는 방법에 대해 설명합니다. 최종 사용자 인증을 위한 Microsoft Entra 애플리케이션 구성에 대한 지침은 Microsoft Entra ID 사용하여 Data Lake Storage Gen1 최종 사용자 인증을 참조하세요.

사전 요구 사항

1단계: Active Directory 웹 애플리케이션 만들기

Microsoft Entra ID 사용하여 Azure Data Lake Storage Gen1에서 서비스 간 인증을 위한 Microsoft Entra 웹 애플리케이션을 만들고 구성합니다. 자세한 내용은 Microsoft Entra 애플리케이션 만들기를 참조하세요.

이전 연결에 있는 지침을 수행하는 동안 다음 스크린샷과 같이 애플리케이션 형식으로 웹앱/API를 선택해야 합니다.

웹앱 만들기

2단계: 애플리케이션 ID, 인증 키 및 테넌트 ID 가져오기

프로그래밍 방식으로 로그인하는 경우 애플리케이션에 대한 ID가 필요합니다. 애플리케이션이 자체 자격 증명에서 실행되는 경우 인증 키도 필요합니다.

3단계: Azure Data Lake Storage Gen1 계정 파일 또는 폴더에 Microsoft Entra 애플리케이션 할당

  1. Azure Portal에 로그인합니다. 이전에 만든 Microsoft Entra 애플리케이션과 연결하려는 Data Lake Storage Gen1 계정을 엽니다.

  2. Data Lake Storage Gen1 계정 블레이드에서 데이터 탐색기를 클릭합니다.

    Data Lake Storage Gen1 계정에 디렉터리 만들기

  3. Data Explorer 블레이드에서 Microsoft Entra 애플리케이션에 대한 액세스를 제공할 파일 또는 폴더를 클릭한 다음 액세스를 클릭합니다. 파일에 대한 액세스를 구성하려면 파일 미리 보기 블레이드에서 액세스를 클릭해야 합니다.

    Data Lake 파일 시스템에 ACL 설정

  4. 액세스 블레이드는 루트에 이미 할당된 표준 액세스 및 사용자 지정 액세스를 나열합니다. 추가 아이콘을 클릭하여 사용자 지정 수준 ACL을 추가합니다.

    표준 및 사용자 지정 액세스 나열

  5. 추가 아이콘을 클릭하여 사용자 지정 액세스 추가 블레이드를 엽니다. 이 블레이드에서 사용자 또는 그룹 선택을 클릭한 다음 사용자 또는 그룹 선택 블레이드에서 이전에 만든 Microsoft Entra 애플리케이션을 찾습니다. 검색할 그룹이 많은 경우 위쪽의 텍스트 상자를 사용하여 그룹 이름을 필터링합니다. 추가하려는 그룹을 클릭한 다음 선택을 클릭합니다.

    그룹 추가

  6. 사용 권한 선택을 클릭하고 사용 권한 및 이러한 권한을 기본 ACL로 할당할지, 액세스 ALC로 할당할지 또는 둘 다로 할당할지 선택합니다. 확인을 클릭합니다.

    권한 선택 옵션이 설명선으로 표시된 사용자 지정 액세스 추가 블레이드와 확인 옵션이 설명선으로 표시된 권한 선택 블레이드의 스크린샷

    Data Lake Storage Gen1의 사용 권한 및 기본/액세스 ACL에 대한 자세한 내용은 Data Lake Storage Gen1에서 액세스 제어를 참조하세요.

  7. 사용자 지정 액세스 추가 블레이드에서 확인을 클릭합니다. 새로 추가한 그룹 및 연결된 권한이 액세스 블레이드에 나열됩니다.

    사용자 지정 액세스 섹션에서 새로 추가한 그룹이 설명선으로 표시된 액세스 블레이드의 스크린샷

참고

Microsoft Entra 애플리케이션을 특정 폴더로 제한하려는 경우 .NET SDK를 통해 파일을 만들 수 있도록 루트에 동일한 Microsoft Entra 애플리케이션 실행 권한을 부여해야 합니다.

참고

SDK를 사용하여 Data Lake Storage Gen1 계정을 만들려면 Microsoft Entra 웹 애플리케이션을 Data Lake Storage Gen1 계정을 만드는 리소스 그룹에 역할로 할당해야 합니다.

4단계: OAuth 2.0 토큰 엔드포인트 가져오기(Java 기반 애플리케이션만 해당)

  1. Azure Portal에 로그온하고 왼쪽 창에서 Active Directory를 클릭합니다.

  2. 왼쪽 창에서 앱 등록을 클릭합니다.

  3. 앱 등록 블레이드 맨 위에서 엔드포인트를 클릭합니다.

    앱 등록 옵션과 엔드포인트 옵션이 설명선으로 표시된 Active Directory의 스크린샷

  4. 엔드포인트 목록에서 OAuth 2.0 토큰 엔드포인트를 복사합니다.

    OAuth 2.0 토큰 엔드포인트 복사 아이콘이 설명선으로 표시된 엔드포인트 블레이드의 스크린샷

다음 단계

이 문서에서는 Microsoft Entra 웹 애플리케이션을 만들고 .NET SDK, Java, Python, REST API 등을 사용하여 작성하는 클라이언트 애플리케이션에 필요한 정보를 수집했습니다. 이제 Microsoft Entra 네이티브 애플리케이션을 사용하여 먼저 Data Lake Storage Gen1 인증한 다음 저장소에서 다른 작업을 수행하는 방법에 대해 설명한 다음 문서를 진행할 수 있습니다.